94%がリプロデューシブル・ビルドなDebianのパッケージ・アーカイブ

Debianのリプロデューシブル・ビルド・プロジェクトが進行

Debianのリプロデューシブル(再現可能)・ビルド・プロジェクトが進行し、Debianのパッケージ・アーカイブうちの94%がリプロデューシブル(再現可能)・ビルドとなったようです。これはDebian 9 (Stretch)におけるx86_64向けのビルドについての数値で、次世代のDebian 10 (Buster)では更なる改良が加えられるようです。

リプロデューシブル・ビルド(再現可能ビルド)とは

リプロデューシブル・ビルドは、ソースコードからバイナリへの変換についてを検証出来るソフトウエア開発方式です。任意のバイナリを任意のソースコードから再現可能なこの方式は、バイナリがどのソースコードに由来するものなのかについて理解を容易にします。

より強固なシステムを構築

オペレーティング・システムの脆弱性は、時に深刻な被害をもたらします。Debianはリプロデューシブル・ビルド・プロジェクトによって、再現可能なソフトウエア・スタックを用意し、よりセキュリティリスクの低いオペレーティング・システムを開発するようです。

ソースコードとバイナリが対応すれば、例えばソースコードと一致しないバイナリがアップロードされるリスクも低くなります。アップロード権限を持つ者によりシステムの攻撃が難しくなり、多くのマシンによる検証をかいくぐる必要も出てくるのです。

Given enough eyeballs, all bugs are shallow.

自由なソフトウエアのセキュリティについて成り立つと言われる「リーナスの法則」という法則があります。Linuxの開発者リーナス・トーバルズにちなんで名付けられた法則です。

この法則を簡単に説明する言葉として、「Given enough eyeball, all bugs are shallow.(十分な目の玉があれば、全てのバグは洗い出される。)」という言葉があります。Linuxは世界中で使用され、多くのハッカーによって日々検証に晒されています。十分な目の玉があるので、バグは次々と洗い出され、日に日に強固なシステムとなっています。

リプロデューシブル・ビルド・プロジェクトは従来の人間が合理的に理解できるソースコード・レベルでの検証を、バイナリ・レベルでの検証まで引き上げます。リーナスの法則で言う”eyeballs”はより広い範囲を見渡せるものとなるでしょう。

関連記事

Debian 9.0「Stretch」がリリース間近、開発が最終段階に突入したらしい

ソース

http://www.phoronix.com/scan.php?page=news_item&px=Debian-2017-Repro-Builds

https://reproducible-builds.org/

https://wiki.debian.org/ReproducibleBuilds/About

Add a Comment

メールアドレスの入力は任意です。(公開されることはありません)